Détermination de la forme de consentement appropriée aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques

Le présent document a été préparé dans le but de fournir une orientation aux organisations quant à la forme de consentement qu'il convient de chercher à obtenir dans une situation donnée. Les principes pertinents sont présentés, suivis d'une explication de la façon dont le CPVP les interprète et les applique.

Principe 4.3 : Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire .

Principe 4.3.4 : La forme du consentement que l'organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements . Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte .

Principe 4.3.5 : Dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.

Principe 4.3.6 : En général, l'organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d'être considérés comme sensibles. Lorsque les renseignements sont moins sensibles, un consentement implicite serait normalement jugé suffisant.

Consentement positif ou actif (explicite)

Selon cette forme de consentement, que l'on appelle généralement le « consentement explicite », l'organisation offre à la personne concernée la possibilité d'accepter l'utilisation proposée. À moins que la personne ne prennent des mesures pour consentir à l'utilisation prévue — en d'autres mots, à moins qu'elle ne l'accepte — l'organisation ne présumera pas que le consentement a été donné.

Il s'agit de la forme de consentement la plus ferme, et elle cadre avec l'esprit de la LPRPDE . Le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation précise que « le consentement explicite est non équivoque et n'oblige pas l'organisme qui demande le consentement de la personne à l'inférer ». On encourage l'organisation à privilégier cette forme de consentement lorsqu'il convient de le faire, puisqu'elle est moins susceptible de donner lieu à des malentendus et à des plaintes.

Selon le principe 4.3.6, l'organisation devrait, en général, chercher à obtenir un consentement explicite si les renseignements sont susceptibles d'être considérés comme sensibles.

Consentement négatif ou refus

L'organisation offre à la personne concernée l'occasion de se prononcer en désaccord avec une utilisation proposée. À moins que la personne ne prenne des mesures pour exprimer un consentement négatif à l'égard de l'utilisation prévue — c'est-à-dire, à moins qu'elle ne la refuse — l'organisation présume que le consentement a été donné et met à exécution l'utilisation prévue. La personne devrait être clairement informée que, en omettant d'exprimer son refus, elle consent à ce que les renseignements personnels la concernant soient utilisés aux fins proposées.

Le CPVP a eu l'occasion d'examiner le refus du consentement sous plusieurs angles. Cette option sert habituellement dans le cadre de l'utilisation ou de la communication de renseignements personnels à des fins secondaires de marketing. Les fins secondaires s'ajoutent à celles pour lesquelles l'information doit être recueillie au départ. Le CPVP estime que, pour recourir à un mécanisme de consentement négatif, par exemple pour obtenir un consentement pour l'utilisation de renseignements personnels à des fins secondaires de marketing, l'organisation doit répondre aux exigences suivantes :

• Il faut démontrer que les renseignements personnels ne sont pas sensibles compte tenu de leur nature et du contexte.
• La situation prévoyant le partage d'information doit être limitée et clairement définie selon la nature des renseignements personnels devant être utilisés ou communiqués ainsi que la portée de l'utilisation ou de la communication prévue.
• Les objectifs de l'organisation doivent être limités et nettement définis, et énoncés d'une manière claire et facile à comprendre.
• En règle générale, l'organisation devrait obtenir au moment de la collecte le consentement de la personne concernée pour utiliser ou communiquer les renseignements personnels. Dans certains cas, il n'est peut-être pas raisonnablement possible d'obtenir un consentement valable au moment où l'information est recueillie. Le principe 4.3.1 reconnaît que, dans certaines situations, une organisation peut obtenir le consentement concernant l'utilisation ou la communication des renseignements après avoir recueilli ces renseignements, mais avant de s'en servir. Dans ce cas, nous encourageons les organisations à informer dès que possible les personnes concernées de l'utilisation ou de la communication proposée et à leur offrir la possibilité d'exprimer leur refus.
• L'organisation doit mettre en place un mécanisme pratique pour le refus ou le retrait du consentement relativement à l'utilisation de renseignements personnels à des fins secondaires. Le refus devrait prendre effet immédiatement et avant toute utilisation ou communication d'information aux nouvelles fins proposées. Si l'utilisation ou la communication à des fins secondaires a déjà lieu, l'organisation doit fournir un mécanisme permanent permettant à la personne de retirer son consentement concernant cette fin secondaire, et elle devrait faire en sorte que le retrait prenne effet dans les plus brefs délais.

La case à cocher

L'organisation devrait veiller à ce que le mécanisme de consentement qu'elle choisit soit clair et facile à comprendre. Par exemple, lorsqu'un mécanisme de consentement comporte une case à cocher tant pour le « oui » que pour le « non », l'organisation devrait indiquer clairement ce qui se produit si la personne ne coche aucune case. L'organisation devrait tenir compte de la sensibilité des renseignements personnels à cet égard. Si les renseignements personnels sont sensibles et que la personne concernée omet de cocher l'une des cases, il ne convient pas de traiter la situation comme s'il s'agissait d'un consentement négatif et de présumer que le consentement a été donné.

Consentement implicite

Selon le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, « le consentement implicite survient lorsque les actes ou l'inaction de la personne permettent raisonnablement de déduire qu'il y a consentement ». Cela comprend les situations où l'utilisation ou la communication prévue est évidente compte tenu du contexte et où l'organisation peut présumer avec peu ou pas de risque que la personne, en fournissant les renseignements personnels, est consciente de l'utilisation ou de la communication prévue et y consent. Ainsi, si les circonstances indiquent que la personne comprend, connaît ou accepte la situation ou qu'une certaine information a été portée à son attention, le consentement pourrait être implicite.

Afin de déterminer s'il convient de se fonder sur le consentement implicite, il faut tenir compte des éléments suivants :

• La personne concernée s'attendrait raisonnablement à ce que les renseignements personnels la concernant soient utilisés ou communiqués de la façon proposée. Cet élément requiert que l'on tienne compte de nombreux facteurs, à savoir quelle information a été fournie à la personne, si l'objet de la collecte était indiqué et si les pratiques sont courantes et généralement connues.
• Les renseignements sont de nature sensible. Cet élément pourrait très bien influencer les attentes raisonnables d'une personne. Aux termes du principe 4.3.6, l'organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d'être considérés comme sensibles . Selon le principe 4.3.4, tous les renseignements peuvent être sensibles, suivant le contexte.
  
  Renseignements non sensibles  : Dans certains cas, la personne pourrait raisonnablement ne pas s'attendre à ce que les renseignements personnels la concernant, même s'ils ne sont pas sensibles, soient utilisés ou communiqués à d'autres fins (par exemple, à des fins secondaires de marketing). Dans d'autres situations mettant en jeu des renseignements non sensibles, la personne aurait normalement une certaine attente (par exemple, lorsqu'une personne s'abonne à un magazine, elle devrait raisonnablement s'attendre à ce que son nom et son adresse soient utilisés non seulement pour l'envoi postal et la facturation, mais aussi aux fins du renouvellement de son abonnement).
  
  Renseignements sensibles  : Dans certains cas mettant en jeu de l'information sensible, la personne devrait raisonnablement s'attendre à ce que les renseignements personnels la concernant soient utilisés ou communiqués à certaines fins. Par exemple, le CPVP favorise la pratique actuelle du consentement implicite pour ce qui est de l'utilisation et de la communication directement liées au traitement et aux soins médicaux d'un patient en particulier (dans les domaines entourant les soins).
• L'évidence de la situation est dictée par le contexte. Par exemple, un fournisseur de services Internet (FSI) pourrait se fonder sur le consentement implicite de la part du client concernant le fait que le FSI peut offrir un certain soutien technique au client, tel que cerner et résoudre les problèmes de transmission, pour le bien du client.

Aucun consentement requis

Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire . La note explicative afférente au principe 4.3 est inopérante en vertu du paragraphe 2 (2) et de l'article 7 de la Loi. Les paragraphes 7(1), (2) et (3) énoncent les seules situations où l'organisation peut recueillir, utiliser ou communiquer des renseignements personnels à l'insu de la personne concernée ou sans son consentement.

La Loi ne s'applique pas à certaines situations énoncées au paragraphe 4(2), telles que la collecte, l'utilisation ou la communication de renseignements personnels à des fins personnelles ou domestiques ou à des fins journalistiques. Ici non plus le consentement n'est pas requis.